Download
1 / 100
1.01k likes | 1.38k Views
ARQUITECTURA TECNOLÓGICA DE APLICACIONES WEB – IN72J . Ezequiel T. Muñoz K. etmunoz@gmail.com , etmunoz@yahoo.com Ingeniero Civil Industrial, MBE (i) Departamento de Ingeniería Industrial Universidad de Chile. Seguridad. Introducción. Evolución vertiginosa Internet
E N D
ARQUITECTURA TECNOLÓGICA DE APLICACIONES WEB – IN72J Ezequiel T. Muñoz K. etmunoz@gmail.com, etmunoz@yahoo.com Ingeniero Civil Industrial, MBE (i) Departamento de Ingeniería Industrial Universidad de Chile
Introducción • Evolución vertiginosa Internet • Conexión fácil, barata y rápida. • Negocio en Internet. Evolución • Fase 1 Presencia en la “red de redes”. • Fase 2 Inicio de las posibilidades de negocio. • Fase 3 Consolidación y primeras preocupaciones. • Escasa inversión en seguridad • Muy poca conciencia de seguridad
Introducción • Seguridad mesurada • Asignación eficiente de recursos. • Mínimo privilegio • Sólo los permisos necesarios. • Seguridad mediante oscuridad • Dificulta los ataques. • Principios básicos • Seguridad absoluta Inexistente. • Seguridad vs. Usabilidad Buscar el equilibrio. • Seguridad en profundidad Modelo en capas. • Seguridad evolutiva Actualización constante. • Sistema Seguro “Un sistema es seguro si en todo momento se comporta como lo desea su propietario”
Introducción • Áreas de Seguridad • Sistemas Operativos (Windows, Linux, Mac). • Aplicaciones o servicios (IIS, Apache, Word). • Redes (LAN, WAN, WLAN). • Datos (protección). • Física (Alarmas, controles de acceso). • Humana (conocimientos mínimos). • Experto en seguridad “Un profesional con excelentes conocimientos en administración de sistemas operativos y de servicios, criptografía, programación y redes de comunicaciones”
Requisitos • Requisitos de Seguridad • Confidencialidad Impedir el acceso no autorizado a la información del sistema (control de acceso). • Integridad Impedir la manipulación de la información. • No repudio Identificación unívoca del origen de la información. • Disponibilidad Los servicios deben estar siempre activos (24 x 7 x 365). • El cumplimiento de estos requisitos presupone que la información está protegida y segura.
Amenazas • Tipos de atacantes • Vulnerabilidades • Tipos de ataques • Posibles daños
Tipos de atacantes • Hacker • Persona con abundantes conocimientos de informática y redes, que explora (o penetra en) sistemas por puro reto. • Blanco / Negro Diversos tonos de gris. • Cracker • Persona con conocimientos extensos de seguridad que rompe códigos de protección (“cracks”). • “Hacker” que penetra en sistemas en beneficio propio (monetario, social o por pura diversión destructiva). • Definitivamente, “el lado oscuro”. • ScriptKiddies / Lamers • Conocimientos mínimos / nulos de seguridad. • Pueden causar graves daños (herramientas precocinadas).
Vulnerabilidades • Red • Elementos de la red (switches, routers, firewalls). • Diseño de la red. • Sistemas operativos y Servicios • Bugs. • Configuración incorrecta (por defecto). • Humanas • Elección de contraseñas débiles. • Dejadez en la administración de equipos y servicios. • Ingeniería social. • ...
Tipos de ataques • Rastreo o fingerprinting • Obtener información sobre máquinas, servicios, personas. • Barrido de puertos o portscanning • Sistema operativos y servicios existentes en el sistema. • Identificación de vulnerabilidades en el sistema • Acceso al sistema (camuflaje y expansión) • Intercepción de contraseñas (sniffer). • Robo de fichero de contraseñas (fuerza bruta). • Falsificación de la identidad (IP spoofing). • Manipulación del sistema (troyanizar comandos).
Posibles daños • Robo de Información • Pérdida de datos • Denegación de servicio • Pérdida de imagen • Posible responsabilidad legal
Herramientas • Verificar o aumentar el nivel de seguridad de un sistema (atacantes / defensores). • Firewalls (control de tráfico) • IpTables, Firewall-1 • Detectores de intrusos • Snort, Real Secure • Analizadores de logs • Swatch, LogWatch • Verificadores de integridad • Tripwire • Analizadores de puertos • nmap, PortScan • Detectores de vulnerabilidades • Nessus, Saint • Sniffers (captura de tráfico) • Ethereal, Sniffer • Password crackers (contraseñas) • Passware, John the Ripper • Troyanos (programas ocultos) • Back Oriffice • Rootkits (ocultación y expansión)
Prácticas básicas • Obtener un buen nivel de seguridad en nuestro sistema • Topología de red Firewalls. Servidores separados. • Backups Copias incrementales. Imágenes de los SO. • Antivirus En TODO el sistema. Actualización constante. Búsqueda periódica de virus. • Correo electrónico No abrir ficheros adjuntos desconocidos. Emplear cifrado. • Navegación Web • No almacenar contraseñas. • Comunicación cifrada. • Otros programas • chat. • mensajería instantánea. • Física • Salvapantallas protegido por contraseña. • Arranque desde el disco duro. • Formación • Estar al día. • Concienciación.
Plan de Seguridad (I) • Plan de Seguridad • Expresión física de la seguridad de un sistema. • Aúna conceptos, requisitos y herramientas. • Analiza sistemas, establece normas y documenta. • ¿Qué debe incluir un Plan de Seguridad? • Todos los procedimientos que se siguen en el sistema, de forma clara y sencilla. • Procedimientos de contingencia y emergencia. • Todo aquello que se considere importante para la seguridad de un sistema.
Plan de Seguridad (II) • Fases • Identificación de elementos valiosos. • Análisis y valoración de riesgos. • Diseño de contramedidas. • Implantación. • Auditoría. • Revisión continua. • Elementos • Copias de Seguridad. • Antivirus. • Gestión de parches y actualizaciones. • Administración de equipos. • Contingencia ante desastres. • Logs del sistema. • Seguridad física. • Formación.
Conclusiones • Abarca un amplio campo de actuación. • Real e importante (concienciación). • Cambia de forma continua (evolución). • No es difícil obtener un nivel de seguridad razonable.
Libros y enlaces de interés Criptonomicón: www.iec.csic.es/criptonomicon SecurityFocus: www.securityfocus.com Kriptópolis: www.kriptopolis.com Hispasec: www.hispasec.com CERT: www.cert.com SecurityPortal: www.securityportal.com Phrack: www.phrack.org/ Insecure.org www.insecure.org “Seguridad Práctica en Unix e Internet” , 2ª Ed.Simson Garfinkel & Gene Spafford - O’Reilly “Hacking Exposed 3rd Edition” - Stuart McClure – McGraw Hill (La 2ºEd en castellano: “Hackers 2” – Stuart McClure – McGraw Hill “Seguridad en Servidores NT/2000 para Internet” – Stefan Norberg, Deborah Russell – O’Reilly “Seguridad y Comercio en el Web” - Simson Garfinkel & Gene Spafford - O’Reilly “Building Internet Firewalls” – Chapman & Zwicky, Ed. O’Reilly
Libros y enlaces de interés Cortafuegos Box: http://www.watchguard.com/ http://www.intrusion.com/ http://www.gnatbox.com/ Cómo montar un cortafuegos con Linux: http://www.linuxdoc.org/HOWTO/Firewall-HOWTO.html http://www.linux-firewall-tools.com/linux/ Cómo poner ACL en router Cisco: http://www.cisco.com/warp/public/cc/pd/iosw/ioft/iofwft/index.shtml Información sobre virus: http://virusattack.xnetwork.com.ar/home/index.php3 http://www.alerta-antivirus.es/ Comparativas de software antivirus: http://www.hispasec.com/comparativa2001.asp http://www.terra.es/informatica/articulo/html/inf2318.htm PGP Internacional ( Windows y Mac ): http://www.pgp.com/downloads/default.asp GnuPG ( Unix/Linux, Windows y Mac ): http://www.gnupg.org/ Configuración segura de su navegador web: http://www.iec.csic.es/criptonomicon/info.html http://www.iec.csic.es/criptonomicon/navegador/ Información sobre cookies: http://www.iec.csic.es/criptonomicon/cookies/ Más información acerca de SSL: http://www.iti.upv.es/seguridad/ssl.html Cómo añadir SSL a su servidor Web: Windows + IIS : http://support.microsoft.com/support/kb/articles/Q228/9/91.ASP Linux + Apache : http://www.securityfocus.com/focus/sun/articles/apache-inst.html Cómo obtener un certificado digital: www.verisign.com www.ipsca.com Salvapantallas para Linux: http://www.linuxgazette.com/issue18/xlock.html
Libros y enlaces de interés Protección del LILO en el arranque: http://www.linux4biz.net/articles/articlelilo.htm Gestor de contraseñas: http://www.counterpane.com/passsafe.html PgpDisk: http://www.pgp.com/products/disk-encryption/default.asp Últimas versiones del Mirc , ICQ & Messenger : http://www.mirc.org/ http://www.icq.com/products/ http://messenger.msn.es/Default.asp Jabber: (pasarela IM) http://www.jabber.com/index.shtml Algunos cortafuegos personales: http://www.zonealarm.com/ http://www.symantec.com/sabu/nis/npf/ Cómo hacer un backup: Linux – Amanda : http://sourceforge.net/projects/amanda/ Windows – Backup : http://www.microsoft.com/intlkb/spain/e11/2/56.asp#1 Cómo hacer una imagen de su equipo: http://www.symantec.com/sabu/ghost/ghost_personal/ Criptonomicón: www.iec.csic.es/criptonomicon SecurityFocus: www.securityfocus.com Kriptópolis: www.kriptopolis.com Hispasec: www.hispasec.com CERT: www.cert.com SecurityPortal: www.securityportal.com
“Si te conoces a ti mismo y conoces a tu enemigo, entonces no deberás temer el resultado de mil batallas” Sun-Tzu, El Arte de la Guerra.
Pasamos de esto: Amenazas y puntos débiles a esto:
“LA SEGURIDAD INFORMÁTICA ES UN CAMINO, NO UN DESTINO” • Objetivo: mantener los sistemas generando resultados. • Si los sistemas no se encuentran funcionando entonces su costo se convierte en pérdidas financieras (en el menos grave de los casos). • El resultado generado por un sistema es la INFORMACIÓN que ALMACENA O PRODUCE.
La seguridad informática NO es un problema exclusivamente de las computadoras. • Las computadoras y las redes son el principal campo de batalla. • Se debe de proteger aquello que tenga un valor para alguien.
Definiciones de seguridad • Políticas, procedimientos y técnicas para asegurar la integridad, disponibilidad y confiabilidad de datos y sistemas. • Prevenir y detectar amenazas. Responder de una forma adecuada y con prontitud ante un incidente. • Proteger y Mantener los sistemas funcionando.
¿por qué? • Por $$$, el dueño de los sistemas tiene dinero INVERTIDO en algo que le trae un beneficio o ventaja. • El Cracking a otros sistemas desde cualquier punto de vista es ilegal. Estamos defendiéndonos ante el crimen. (aunque no haya leyes) • Por CALIDAD, hay que acostumbrarnos a hacer las cosas bien, aunque cueste más esfuerzo.
Arquitectura Empresarial Arquitectura del Negocio Conductores del Negocio Visión del Negocio Misión Objetivos Impulsos Estratégicos Visión Futuro Oportunidades Maneja, Requiere Arquitectura de Información Guía el Desarrollo Arquitectura de Aplicaciones Se soporta con Arquitectura de Infraestructura
Seguridad del Negocio Seguridad de la Información Seguridad de las Aplicaciones Seguridad de la Infraestructura Seguridad • Principales Acciones • Formar al Personal TIC en materias de seguridad • Desarrollar un Modelo de Seguridad TIC&A • Realizar comunicaciones en la Organización • Establecer restricciones en pro de la disponibilidad • Accionar en función de la confidencialidad
Seguridad del Negocio Seguridad de la Información Seguridad de las Aplicaciones Seguridad de la Infraestructura Seguridad • Principales Acciones • Proyecto de Mejoramiento de Perfiles y Autorizaciones • Incorporación de Tecnología para la Administración de Identidades • Control Seguridad de las Aplicaciones • Administración de Bases de Datos Corporativa
Seguridad del Negocio Seguridad de la Información Seguridad de las Aplicaciones Seguridad de la Infraestructura Seguridad • Principales Acciones • Autenticación, Autorización y Perfilamiento para todos los sistemas • Rediseño Proceso de Software • Estandarización de Componentes • Búsqueda de Soluciones de Clase Mundial
Seguridad del Negocio Seguridad de la Información Seguridad de las Aplicaciones Seguridad de la Infraestructura Seguridad • Principales Acciones • Plan Maestro Infraestructura • Roadmap de Proyectos consistentes • Migraciones • Seguridad Perimetral y Sitios Estancos • Creación del Escritorio Estándar
Introducción • Seguridad de Información (SdI) • Problema de TODOS • Problemas derivados de las vulnerabilidades • Amenazas a los activos de las empresas • Cientos de ejemplos: virus de todo tipo • Implantación de sistema de seguridad • Conceptos • Análisis • Implementación • Administración
Conceptos básicos • Información es valor • Mucha de nuestra información es digital • La seguridad de ella afecta nuestros negocios • Propósito de la seguridad de información • PROTEGER información registrada • Elementos básicos de la SdI • Información • Equipos • Personas
Archive Windows Server System Access Policy Hot Fixes Backup Clustering Service Packs Restore Install Event Management IPSEC Active Directory Repair PKI Información Kerberos Performance Management Tecnología Intrusion Detection Distributed File System SSL/TLS Configuration Management Encrypted File System Personas Developer Enterprise Administrator Domain Admin. Service/ Support User Admin. System Manager USER Conceptos básicos Seguridad Información
Activos • ¡Los datos son activos! • Cómo almacenarlos y protegerlos • Tipos de activos • Sujetos a vulnerabilidades • Como se aplica a ellos • Confidencialidad • Integridad • Disponibilidad
Activos • ¿Qué es un activo? • todo aquel elemento que compone el proceso de la comunicación, partiendo desde la información, su emisor, el medio por el cual se transmite, hasta su receptor • Seguridad de la información persigue proteger los activos • Por su valor • Por su importancia para la organización • Activos: • Información • Equipos que la Soportan • Personas que los utilizan
Tipos de activos • Información • Registros electrónicos o físicos • Todo lo importante para el negocio • En cualquier medio de almacenamiento • Ejemplos: documentos, informes, libros, manuales, correspondencias, patentes, información de mercado, código de programación, líneas de comando, archivos de configuración, planillas de sueldos de empleados, plan de negocios… • Vulnerabilidades • Robo, pérdida de archivos, etc.
Tipos de activos • Equipos: Software • Todos los programas usados para automatizar procesos • SdI busca evaluar la creación, distribución y uso de software para detectar vulnerabilidades • Ejemplos: Sistemas operativos (Unix, Windows, Linux, etc.), programas de correo electrónico, sistemas de respaldo… • Vulnerabilidades • Fallas publicadas no reparadas que puedan representar accesos indebidos a los equipos. Pérdida de los sistemas de respaldo.
Tipos de activos • Equipos: Hardware • Toda la infraestructura tecnológica que brinda soporte a la información • Cualquier equipo en el cual se almacene, procese o transmita la información de la empresa. • Ejemplos: computadores, servidores, portátiles, mainframes, medios de almacenamiento, equipos de conectividad, routers, switchs y cualquier otro elemento de una red de computadoras por donde transita la información. • Vulnerabilidades • Fallas eléctricas que dañen los equipos, inundaciones en centros de cómputo, robo de equipos portátiles.
Tipos de activos • Equipos: Organización • Todos los aspectos que componen la estructura física y organizativa de las empresas • La organización lógica y física que tiene el personal dentro de la empresa • Ejemplos: la estructura departamental y funcional, el cuadro de asignación de funcionarios, la distribución de funciones y los flujos de información de la empresa, ambiente físico • Vulnerabilidades • Ubicación insegura de documentos, equipos o personas. • Estructura organizacional que no permita los cambios en materia de seguridad.
Tipos de activos • Usuarios • Todos los individuos que utilizan la estructura tecnológica y de comunicación de la empresa y que manejan la información • Enfocado a la toma de conciencia de formación del hábito de la seguridad • Ejemplos: Empleados del área de contabilidad, directivos de la empresa • Vulnerabilidades • No usar contraseñas complejas. No bloquear el computador. • Falta de cooperación por parte de los usuarios en materia de seguridad. Descuido de parte de los usuarios en el manejo de la información. Robo de información.
Protección de los activos • Principios básicos para proteger la información
Principios básicos de SdI • Integridad de la información • Permite garantizar que la información no ha sido alterada en su contenido, por tanto, es íntegra • Información íntegra es una información que no ha sido alterada de forma indebida o no autorizada • La integridad de la información es fundamental para el éxito de la comunicación • La quiebra de integridad ocurre cuando la información se corrompe, falsifica o burla • Vulneración de integridad de la información • Alteraciones del contenido i.e. sueldos • Alteraciones en los elementos que soportan la información • La integridad es asegurarnos que sólo las personas autorizadas puedan hacer alteraciones en la forma y contenido de una información
Principios básicos de SdI • Confidencialidad de la información • asegurar que sólo la persona correcta acceda a la información que queremos distribuir • Pérdida de confidencialidad significa pérdida de secreto • Vulneración de la confidencialidad • Si una información es confidencial, no deberá ser divulgada para personas no autorizadas i.e. claves acceso tarjetas crédito
Principios básicos de SdI • Confidencialidad de la información • Cómo saber si es confidencial la información: clasificándola • Clasificación de acuerdo a la confidencialidad: Grado de Sigilo • Confidencial • Restricto • Sigiloso • Público • Garantizar la confidencialidad es uno de los factores determinantes para la seguridad
Principios básicos de SdI • Disponibilidad de la información • la información correcta llegue en el momento oportuno • disponibilidad de la información y de toda la estructura física y tecnológica que permite el acceso, tránsito y almacenamiento • La disponibilidad de la información permite que: • Se utilice cuando sea necesario • Que esté al alcance de sus usuarios y destinatarios • Se pueda acceder en el momento en que necesitan utilizarla
Principios básicos de SdI • Disponibilidad de la información • Cómo asegurarla • configuración segura del ambiente • estrategias para situaciones de contingencia • rutas alternativas para el tránsito de la información • Para garantizar la disponibilidad de la información, es necesario conocer cuales son sus usuarios para que se puedan organizar y definir las formas de colocación en disponibilidad, garantizando, conforme el caso, su acceso y uso cuando sea necesario
